GDPR (General Data Protection Regulation).
Som nævnt i forrige GDPR oplæg, så skelner man mellem Data ansvarlig og Databehandler.
I er Dataansvarlige i relation til Jeres kunder, og der er skrevet rigtig meget om hvordan det skal håndteres.
Herunder er en hjælp til at blive klar med Jeres BG Webshop.
Langt de fleste data I registrerer kan findes i Krak m.fl. og er klassificeret som almindelige person data, og BG Webshop registrerer ikke data på egen hånd - kun de data I har sat den op til.
Der er nogle principielle ting I skal have styr på til d. 25. maj.
I kan finde specifikationer på denne checkliste:
https://itb.dk/persondataforordning
1. Nedskreven Persondata politik.
I skal oprette en Infoside (eller artikel), der beskriver Jeres politik omkring persondata, og sørg for at den er rimelig nem at læse - ikke for meget Jura.
Hvad I registrerer:
- her handler det ikke blot om kundens navn+adresse, bestillinger/ordrer - husk også:
- transaktions data givet fra QuickPay
- forsendelses T&T kode
- IP registreret af Google Analytics
- henvendelser via Kontakt os
- eventuelle produkt anmeldelser
- mails og anden elektronisk kommunikation på alle enheder i virksomheden
- kopier i Dropbox, Gdrev, Onedrive og lignende
- Facebook likes, kommentarer m.m.
Ret til indsigt:
Kunden har ret til at se hvad I har registreret på vedkommende, hvilket er enkelt for konto-kunder, da de kan se alle shoppens registreringer på deres egne kontosider.
For Ikke-kontokunder kan man printe kontokortet og alle ordrer, der tilhører samme kundes email-konto.
PS:
Husk at definere en intern politik for hvordan I vil sikre Jer at indsigt kun gives til rigtige person.
F.eks. at få en skriftlig bekræftelse af kunden
Hvordan og hvor I behandler det.
Se også Databehandler aftalen fra sidste opslag.
Hvor længe det registreres.
Kan være meget forskellligt, men begrund Jeres opbevarings tid som f.eks. min. 5 år(bogføringsloven) eller sålænge der eksisterer et samhandelsforhold, og derefter min. 5 år.
Bemærk at daglige backups gemmes i løbende 3 måneder. Backup er en samlet database backup, hvor det vil være tidskrævende at skulle fjerne en enkelt kundes data.
Ret til sletning.
Kunder kan bede om at blive slettet, I skal efterkomme rimelige krav, der ikke strider med gældende lovgivning.
Her kan I slette kundens ordrer, anmeldelser og stamdata i systemet via administrationens interface.
Ret til portabilitet.
Kunden har ret til at få sine data udleveret i gængs elektronisk format, som kan gøre det lettere at skifte service udbyder m.m.
Her kommer der en funktion - på kunde oversigten, der danner en CSV-fil med al registrering på en given kunde.
Ret til Indsigelse / nægte registrering.
Det skal være muligt (og tilladt) for en kunde at takke nej til at blive registreret.
Hvis det sker i en fysisk forretning kan man fortsat servicere kunden og gennemføre en bestilling.
Det er imidlertid ikke muligt for en webshop med mindre man anmoder dem om at møde op i en fysisk forretning.
Kunden skal aktivt tilkendegive at de accepterer at deres data bliver registreret.
I praksis kan I gøre følgende:
Sørg for at I kun beder om leverings relevante informationer - ikke titel, køn cprnr eller andet.
Lav denne informative tilføjelse:
MENU: Indstillinger - C Advanced - Sprog - Redigere sprog / tekster - checkout_confirmation - TEXT_RETURN_POLICY
a. Tilføj note at I - for at yde den ønskede service - vil registrere de indtastede kontaktoplysninger, når kunden klikker på: Bestil
b. Henvis kunden til få mere information i Jeres Persondata politik
Det lever ikke helt op ordlyden, der kræver aktivt samtykke, men det gør gældende praksis til en del af Jeres politik, ligger implicit i kundens aktivitet - hvilket der allerede er lavet visse noter om, så mon ikke det her også bliver en tilføjelse.